Sind diese beiden Funktionen für die Desinfektion überfordert?
function sanitizeString($var)
{
$var = stripslashes($var);
$var = htmlentities($var);
$var = strip_tags($var);
return $var;
}
function sanitizeMySQL($var)
{
$var = mysql_real_escape_string($var);
$var = sanitizeString($var);
return $var;
}
Ich habe diese beiden Funktionen aus einem Buch erhalten und der Autor sagt, dass ich durch die Verwendung dieser beiden Funktionen besonders sicher gegen XSS (die erste Funktion) und SQL-Injektionen (die zweite Funktion) sein kann. Sind alle diese notwendig?
Auch zum Desinfizieren verwende ich vorbereitete Anweisungen, um SQL-Injektionen zu verhindern.
Ich würde es so benutzen:
$variable = sanitizeString($_POST['user_input']);
$variable = sanitizeMySQL($_POST['user_input']);
BEARBEITEN Entferne strip_tags für die 1. Funktion, weil sie nichts bewirkt. Würde die Verwendung dieser beiden Funktionen ausreichen, um die meisten Angriffe zu verhindern, und wäre dies für eine öffentliche Site in Ordnung?